ГОСТ Р ИСО 27799-2015 Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002

     6.2 Обязательство руководства по внедрению ИСО/МЭК 27002

Прежде чем предпринимать попытки добиться соответствия с ИСО/МЭК 27002, очень важно убедиться в том, что медицинская организация имеет поддержку руководства. Очевидно, что активная приверженность и поддержка руководства необходимы для успеха. Эта приверженность должна включать в себя письменные и устные заявления о важности защиты медицинской информации и признания ее преимуществ.

Оценка рисков приносит с собой возможность обнаружения серьезных рисков, что, в свою очередь, требует существенных изменений в существующих процессах для снижения этих рисков. Должна быть явно показана личная готовность руководства к тому, чтобы подвергнуть себя и организацию изменениям в процессах и стать инициаторами этих изменений.

Если эти шаги не будут предприняты, приверженность других будет до конца полной. Могут появиться ненужные подозрения среди заинтересованных сторон о "реальной цели" программы (например, делается ли это для того, чтобы повысить эффективность защиты информации, или же для того, чтобы уменьшить количество необходимых сотрудников?).

Кроме того, руководство должно быть готово к вероятности того, что, возможно, в краткосрочной перспективе увеличение расходов, возникающее из-за перехода к новому режиму, особенно в области здравоохранения, вызовет отрицательные отзывы. Такие отзывы могут также возникнуть из ряда представлений о затрагиваемых целях и планах. Явная приверженность руководства может минимизировать подобные проблемы.